Elektroniczna Rejestracja Kandydatów UJ
Uczelnie wyższe mogą mieć kłopot z bezpieczeństwem chronionych ustawowo danych osobowych. Ponoć w systemie Elektronicznej Rejestracji Kandydatów Uniwersytetu Jagielońskiego wykryto lukę, która pozwalała na dotarcie do gromadzonych online danych kandydatów na studia. Dane te, to nazwisko, adres, NIP, nr i seria dowodu, nr polskiego rachunku bankowego, data wystawienia świadectwa dojrzałości... Luka została już zabezpieczona.
Na stronie ERK UJ zachęca się kandydatów do dokonywania elektronicznej rejestracji słowami: "Wszystkich Kandydatów zachęcamy do dokonania rejestracji kandydatury na studia w Uniwersytecie Jagiellońskim. Przed rozpoczęciem procedury rejestracyjnej należy zapoznać się z informacjami zamieszczonymi na stronach systemu ERK oraz na stronie www.rekrutacja.uj.edu.pl". OK. Kandydatów należy również zachęcić do przeczytania tekstu Niebezpieczna luka w systemie rejestracji na UJ, który opublikował Onet.pl. Tam też można przeczytać:
O błędzie na stronie www.erk.uj.edu.pl poinformował nas jeden ze studentów, którzy w tym roku rejestrowali się na UJ. – Zakładasz dowolne konto, logujesz się i możesz przeszukiwać bazę danych kandydatów. Wystarczy, że w pasku wyszukiwarki zmienisz trzy ostatnie cyfry adresu – mówi Tomasz...
Uniwersytet Jagieloński przeprosił i zapewnił, że dołoży starań, etc., itp...
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Przecież to przestępstwo
Po nowelizacji Kodeksu Karnego to przestępstwo. Uzyskali dostęp do informacji nie przeznaczonych dla nich, nie trzeba wnikać czy omijali przy tym zabezpieczenia.
Chyba Policja powinna wkroczyć do Onetu i zabezpieczyć komputery...
UKW Bydgoszcz
To nie jest odosobniony przypadek. W systemie IRK Uniwersytetu Kazimierza Wielkiego w Bydgoszczy był (jest?) błąd typu SQL Injection. Można było wykonać dowolne zapytanie (również zmianę/usunięcie) na bazie, która zawierała prócz danych osobowych również wyniki matur kandydatów na studia.
No ale za to oprogramowanie bylo tanie...
Przeciez to sie tak naprawde liczy -nie? Żeby było tanio. Acha: żebyście nie mieli wątpliwości - takie HP, czy IBM zrobiłoby to znacznie drożej ale wcale nie lepiej...oni tezby robili żeby bylo taniej - dla nich...
"Uczelnie" = UJ ?
Dlaczego piszesz "uczelnie mogą mieć problemy z bezpieczeństwem danych" skoro na razie dziurę wykryto tylko w systemie rekrutacyjnym jednej konkretnej uczelni?
Swoją drogą ciekawy ten opis dziury - "wystarczy, że w pasku wyszukiwarki zmienisz trzy ostatnie cyfry adresu". Po co w systemie rekrutacyjnym, w części dostępnej dla kandydatów, jakakolwiek wyszukiwarka? Kandydat powinien mieć dostęp tylko i wyłącznie do swoich danych i tyle. Co tu wyszukiwać?
Podejrzewam, że raczej
Podejrzewam, że raczej chodziło o pasek adresu przeglądarki. Po zalogowaniu, na końcu adresu było coś w stylu &id=123. Zmieniając numerek id, mogłeś zobaczyć dane osoby zapisane pod konkretnym rekordem, a system nie sprawdzał, czy zalogowana osoba ma uprawnienia do oglądnięcia tych danych. Na stronie nie było żadnego linku, który prowadziłby do pokazania danych osób zapisanych w bazie, ale poprzez adres było to dziecinnie łatwe.
To wygląda rozsądnie
bo faktycznie, może być tak że część wykorzystywana przez kandydatów i część wykorzystywana przez komisje rekrutacyjne korzystają ze wspólnych modułów i wtedy komisja potrzebuje tego "id=...". W systemie rekrutacyjnym, który ja pisałem pięc lat temu (http://rekrutacja.up.krakow.pl/) zrobiłem tak, że jeżeli zalogowany użytkownik należy do klasy "kandydat", to parametr "id" jest zawsze ignorowany i nadpisywany loginem użytkownika (login kandydata jest identyczny z numerem, pod którym się zarejestrował).
A z umieszczaniem różnych "śmiesznych" parametrów w URL-u kojarzy mi sie potężna wpadka, jaką pare lat temu widziałem w Biuletynie Zamówień Publicznych. Otóz po zalogowaniu sie do systemu osoby uprawnionej do zamieszczenia ogłoszenia na końcu URL-a dopisywane były parametry zawierające jawnym tekstem login i hasło! I na tym opierała sie autoryzacja użytkownika. Wystarczyło tylko np. zapamietać sobie taki link w zakładkach przegladarki i wysłac komuś, żeby ten ktoś mógł operować na biuletynie w naszym imieniu... ;)
Napisałem "uczelnie"
Napisałem "uczelnie", gdyż uczelnie rekrutują, a wszędzie gdzie uczelnie rekrutują i gromadzą dane "przez internet" może być ten sam problem.
--
[VaGla] Vigilant Android Generated for Logical Assassination